Annonse
En novelle krypteringsfeil har dukket opp nylig, som kan utgjøre en trussel mot personvern på nettet. Døpt “LogJam,” feilen oppstår i TSL (Transport Security Layer), en krypteringsprotokoll som brukes til å autentisere servere og skjule innholdet i sikker nettaktivitet (som bankinnlogging).
Feilen lar en mann-i-midten angriper tvinge nettleseren din, og serveren den er koblet til, til å bruke en svak form for kryptering som er sårbar for angrep fra brute-force. Dette er relatert til "FREAK" sårbarhet SuperFREAK: Sikkerhetsproblem med ny sikkerhetsfeil påvirker desktop og mobil nettlesersikkerhetFREAK-sårbarheten er en som påvirker nettleseren din, og den er ikke begrenset til en nettleser eller et enkelt operativsystem. Finn ut om du er berørt, og beskytt deg selv. Les mer oppdaget og lappet tidligere i år. Disse feilene kommer på hælen til mer katastrofale sikkerhetsproblemer som Heartbleed Heartbleed - Hva kan du gjøre for å holde deg trygg? Les mer og Granatsjokk Verre enn hjertefulle? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Les mer .
Mens lapper er i verk for de fleste større nettlesere, kan det hende at tusenvis av webservere er utilgjengelige til de er oppgradert med korrigert kode.
En militær arv
I motsetning til de fleste sikkerhetsproblemer som er forårsaket ganske enkelt ved programmerer tilsyn 1000 iOS-apper har forkrøplende SSL-feil: Hvordan kan du sjekke om du er berørtAFNetworking-feilen gir iPhone- og iPad-brukere problemer, med 1000-talls apper som har et sikkerhetsproblem som resulterer i SSL-sertifikater fra å bli riktig autentisert, potensielt muliggjøre identitetstyveri gjennom mann-i-midten angrep. Les mer , er dette sikkerhetsproblemet i det minste delvis forsettlig. På begynnelsen av 1990-tallet, da PC-revolusjonen startet, var den føderale regjeringen bekymret for at eksport av sterk krypteringsteknologi til utenlandske makter kan svekke evnen til å spionere på andre nasjoner. På den tiden ble sterk krypteringsteknologi regnet som en form for våpen. Dette tillot den føderale regjeringen å sette begrensninger på distribusjonen.
Som et resultat, da SSL (Secure Socket Layer, forgjenger for TSL) ble utviklet, ble det utviklet i to smaker - den amerikanske versjonen, som støttet full lengde-nøkler 1024 bits eller større, og den internasjonale versjonen, som toppet på 512-bits nøkler, som er eksponentielt svakere. Når de to forskjellige versjonene av SSL snakker, faller de tilbake til den lettere ødelagte 512-bits nøkkelen. Eksportreglene ble endret på grunn av tilbakeslag i borgerrettigheter, men av bakoverkompatibilitetshensyn har moderne versjoner av TSL og SSL fortsatt støtte for 512 bits nøkler.
Dessverre er det en feil i delen av TSL-protokollen som avgjør hvilken nøkkellengde som skal brukes. Denne feilen, LogJam, tillater a mannen i midten Hva er et menneske i midten-angrep? Sikkerhetssjargong forklartHvis du har hørt om "mann-i-midten" -angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer angriper for å lure begge klienter til å tro at de snakker med et eldre system som vil bruke en kortere nøkkel. Dette forringer styrken på tilkoblingen, og gjør det lettere å dekryptere kommunikasjonen. Denne feilen har vært skjult i protokollen i omtrent tjue år, og har nylig blitt avdekket.
Hvem er berørt?
Feilen berører for øyeblikket omtrent 8% av de øverste millionene HTTPS-aktiverte nettstedene, og et stort antall e-postservere, som har en tendens til å kjøre utdatert kode. Alle større nettlesere blir berørt bortsett fra Internet Explorer. Berørte nettsteder vil vise den grønne https-låsen øverst på siden, men ville ikke være sikre mot noen angripere.
Nettleserprodusenter er enige om at den mest robuste løsningen på dette problemet er å fjerne all eldre støtte for 512-biters RSA-nøkler. Dessverre vil dette gjengis noen del av Internett, inkludert mange e-postservere, utilgjengelige til firmware deres er oppdatert. For å sjekke om nettleseren din er blitt oppdatert, kan du besøke et nettsted satt opp av sikkerhetsforskerne som oppdaget angrepet, kl weakdh.org.
Angrep praktisk
Så hvor sårbar er en 512-bits nøkkel i disse dager, uansett? For å finne ut av det, må vi først se nøyaktig hva som blir angrepet. Diffie-Hellman nøkkelutveksling er en algoritme som brukes for å la to parter bli enige om en delt symmetrisk krypteringsnøkkel, uten å dele den med en hypotetisk snooper. Diffie-Hellman-algoritmen er avhengig av et delt primtall, innebygd i protokollen, som dikterer sikkerheten. Forskerne klarte å knekke det vanligste av disse primene i løpet av en uke, slik at de kunne dekryptere omtrent 8% av Internett-trafikken som var kryptert med den svakere 512-biters prime.
Dette setter dette angrepet innen rekkevidde for en "kaffebar-angriper" - en liten tyv snooping på økter via offentlig WiFi 3 farer ved å logge på offentlig Wi-FiDu har hørt at du ikke burde åpne PayPal, bankkontoen din og muligens til og med e-posten din mens du bruker offentlig WiFi. Men hva er den faktiske risikoen? Les mer , og brute-tvinger nøkler etter faktum for å gjenopprette økonomisk informasjon. Angrepet ville være trivielt for selskaper og organisasjoner som NSA, som kanskje vil gjøre et betydelig stykke for å sette opp en mann i midten angrep for spionasje. Uansett representerer dette en pålitelig sikkerhetsrisiko, både for vanlige mennesker og alle som kan være sårbare for snooping av kraftigere krefter. Visstnok burde noen som Edward Snowden være veldig forsiktige med å bruke usikret WiFi i overskuelig fremtid.
Mer bekymringsfullt antyder forskerne at standard primlengder som anses som sikre, som 1024-biters Diffie-Hellman, kan være sårbar for angrep fra brute-force fra mektige myndigheter organisasjoner. De foreslår at du migrerer til vesentlig større nøkkelstørrelser for å unngå dette problemet.
Er dataene våre sikre?
LogJam-feilen er en uvelkommen påminnelse om farene ved å regulere kryptografi med tanke på nasjonal sikkerhet. Et forsøk på å svekke USAs fiender har skadet alle, og gjort oss alle mindre trygge. Det kommer på et tidspunkt hvor FBI satser på å tvinge teknologiselskaper til inkludere bakdører i krypteringsprogramvaren. Det er en veldig god sjanse for at hvis de vinner, vil konsekvensene for de kommende tiår være like alvorlige.
Hva tror du? Bør det være begrensninger på sterk kryptografi? Er nettleseren din sikker mot LogJam? Gi oss beskjed i kommentarene!
Bildepoeng: US Navy Cyberwarfare, Hacker-tastatur, HTTP, NSA-skilt av Wikimedia
Andre er en skribent og journalist med base i Sørvest, og garantert å være funksjonell opptil 50 grader Celcius, og er vanntett til en dybde på tolv meter.
